近日,中国信息通信研究院就开源网安顺利通过“【首批】中国信息通信研究院运行时应用程序自我保护(RASP)工具能力评估”,采访了开源网安产品负责人-何成刚,为大家分享开源网安的安全工具及参与评估的收获。
中国信息通信研究院云计算与大数据研究所开源和软件安全部郭雪主任公布评估结果
随着数字化的推进,软件应用服务正在潜移默化地改变着生活的各个方面,渗透到各个行业和领域,其自身的安全问题也愈发成为业界关注的焦点。通过自动化安全平台、工具,将安全融入软件服务的全生命周期,适应当前的开发模式是业界共识,也是实现研发运营安全的必要途径。运行时应用程序自我保护(RASP)工具可注入到应用程序中,与应用程序融为一体,进行实时监测、阻断攻击,使程序自身拥有自保护的能力。
以下采访来自“中国信息通信研究院”
Q
何总您好,请介绍一下您的企业
A
开源网安是国内软件安全行业创领者,2013年成立于深圳,同时设有北京、上海、武汉、成都、合肥分公司。公司以捍卫中国软件安全为使命,以保障信创和新基建安全为己任,以提升企业软件产品安全与质量为目标。
开源网安拥有完全的自主知识产权,能够为客户提供成熟的软件安全开发全生命周期解决方案(S-SDLC)、DevSecOps解决方案和完整的软件安全开发工具链(IAST、SAST、SCA、FUZZ、RASP),为客户实现软件产品快速安全交付保驾护航。
Q
请介绍一下您企业的RASP安全工具
A
开源网安实时应用自我防护平台(简称RASP),采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。针对互联网企业和分布式应用项目,RASP平台的部署效率与防护效果更加明显。
Q
请介绍一下您企业RASP安全工具的应用场景及功能特点
A
RASP在应用程序运行时提供自我保护功能,是DevSecOps敏捷安全工具链中的一环。RASP通过专业的插桩技术,将自身的防护逻辑以及检测防护功能与应用程序相结合,支持多种类型的攻击检测以及攻击的多维度展示,支持攻击验证,支持攻击源检测等功能,尤其在企业级的个性化防护需求以及智能应对0day漏洞方面占领绝对性的优势。
Q
请问通过本次标准评估对您的企业带来了什么帮助?
A
首先,我司RASP得到一个权威的认证,通过此次RASP的评估,助力我们公司进一步提升RASP产品建设的标准化、专业化水平,持续不断的优化以及提升,也使得我司RASP产品一直作为业界的标杆。同时RASP作为我司S-SDLC平台以及DevSecOps中的关键一环,我司的软件安全体系能力更上一个台阶,全方位助力企业在应用安全上的防护。
运行时应用程序自我保护(RASP)工具能力评估(以下简称“评估”)简介
评估基于《运行时应用程序自我保护工具能力要求》标准,对于工具的检验分析能力要求、工具灵活性能力要求、分析辅助能力要求、工具扩展性能力要求、部署能力要求、安全性能力要求、服务支持能力要求7大部分进行评估,评估共包括31项一级指标项,可细分为:75项必选能力指标+4项可选能力指标+3项参考能力指标。
获得此份殊荣,说明了业界与权威专家对开源网安技术与能力的肯定。未来,开源网安将持之以恒,持续深耕软件安全行业,从全生命周期守护客户软件安全,推动中国数字经济高质量发展。